1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO:
- Thalos AI Fitness Coach GmbH
- Kohlmarkt 4/6, 1010 Wien, Österreich
- FN 658737 g
- E-Mail: privacy@thalos.at
2. Begriffsbestimmungen
„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. „Verarbeitung“ bezeichnet jeden Vorgang im Zusammenhang mit personenbezogenen Daten (z.B. Erheben, Speichern, Verwenden, Übermitteln, Löschen). Weitere Begriffe entsprechen Art. 4 DSGVO.
3. Verarbeitungsvorgänge im Überblick
Nachstehend finden Sie die zentralen Verarbeitungsvorgänge in zusammengefasster Form. Detaillierte Informationen sind in den folgenden Abschnitten enthalten.
| Verarbeitung | Datenkategorien (Beispiele) | Zwecke | Rechtsgrundlage | Regelmäßige Speicherdauer |
|---|---|---|---|---|
| Websitebetrieb/Server-Logs | IP-Adresse, Datum/Uhrzeit, URL, User-Agent, Referrer | Bereitstellung der Website, IT-Sicherheit, Fehleranalyse | Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) | Max. 90 Tage |
| Cookie-Consent & notwendige Cookies | Cookie-ID, Consent-Status | Funktionalität, Speicherung Ihrer Einstellungen | Art. 6 Abs. 1 lit. c DSGVO iVm § 165 Abs. 3 TKG 2021 (notwendig) bzw. Art. 6 Abs. 1 lit. a DSGVO (optional) | Max. 3 Jahre (Consent-Protokoll/Nachweis) |
| Registrierung/Nutzerkonto | Name, E-Mail, Login, Stammdaten | Kontoeröffnung, Authentifizierung, Vertragsabwicklung | Art. 6 Abs. 1 lit. b DSGVO | Dauer des Kontos; danach Löschung/Anonymisierung, sofern keine Pflichten entgegenstehen |
| Coaching/Training & Personalisierung | Trainings-/Ernährungsdaten, Ziele, Präferenzen, Interaktionen | Erbringung der Services, Personalisierung, Fortschrittsdarstellung | Art. 6 Abs. 1 lit. b DSGVO; bei Gesundheitsdaten ggf. Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) | Dauer des Kontos; optional längere Speicherung bis Widerruf/Deletion |
| Support & Kommunikation | Kontakt-/Support-Anfragen, Inhalte, Metadaten | Bearbeitung von Anfragen, Qualitätssicherung | Art. 6 Abs. 1 lit. b oder lit. f DSGVO | Max. 3 Jahre (Verjährungs-/Nachweiszwecke) |
| Rechnungslegung/Zahlung | Rechnungsdaten, Zahlungsstatus | Abrechnung, Buchhaltung, Betrugsprävention | Art. 6 Abs. 1 lit. b, lit. c DSGVO | gesetzliche Aufbewahrungsfristen (idR 7 Jahre, ggf. länger) |
| Marketing/Newsletter (optional) | E-Mail, Interaktionsdaten | Versand von Informationen/Angeboten | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. Art. 6 Abs. 1 lit. f DSGVO (Bestandskundeninformation, soweit zulässig) | bis Widerruf bzw. Abmeldung |
| Produktverbesserung (anonymisiert) | aggregierte Nutzungsstatistiken, Fehlerraten | Qualitäts- und Sicherheitsverbesserung | keine personenbezogenen Daten (Anonymisierung) bzw. Art. 6 Abs. 1 lit. f DSGVO | ohne zeitliche Begrenzung, sofern anonymisiert/aggregiert |
4. Bereitstellung der Website und Server-Logfiles
Beim Aufruf unserer Website werden durch den von Ihnen verwendeten Browser automatisch Informationen an unseren Server übermittelt und temporär in sogenannten Logfiles gespeichert. Dabei kann es sich insbesondere um folgende Daten handeln: IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Seite/Datei, Referrer-URL, Browsertyp/-version, Betriebssystem, übertragene Datenmenge und Statuscodes.
Zwecke der Verarbeitung sind die technische Bereitstellung der Website, die Gewährleistung der Systemsicherheit, die Abwehr von Angriffen sowie die Fehleranalyse. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und funktionsfähigen Online-Angebot).
5. Cookies, Einwilligungsmanagement und optionale Tracking-Technologien
Wir verwenden Cookies und ähnliche Technologien. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden. Nach österreichischem Recht (§ 165 Abs. 3 TKG 2021) dürfen nicht technisch notwendige Cookies/Tracker grundsätzlich nur nach Ihrer vorherigen Einwilligung gesetzt bzw. ausgelesen werden.
5.1 Technisch notwendige Cookies
Technisch notwendige Cookies sind erforderlich, um die Website bereitzustellen und wesentliche Funktionen (z.B. Sicherheit, Spracheinstellungen, Consent-Status) zu ermöglichen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO iVm § 165 Abs. 3 TKG 2021 bzw. Art. 6 Abs. 1 lit. f DSGVO.
5.2 Optionale Cookies (Analyse/Marketing)
Analyse- und Marketing-Cookies setzen wir nur, wenn Sie über das Consent-Tool ausdrücklich einwilligen (Art. 6 Abs. 1 lit. a DSGVO). Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft über die Cookie-Einstellungen widerrufen. Bis zur Einwilligung findet kein entsprechendes Tracking statt.
Hinweis: Sofern wir künftig konkrete Tools (z.B. Webanalyse, Conversion-Tracking) einsetzen, werden wir diese hier benennen und deren Funktionsweise, Empfänger und Speicherdauer ergänzen.
6. Registrierung, Nutzerkonto und Vertragsabwicklung
Sofern Sie ein Nutzerkonto erstellen oder Services in Anspruch nehmen, verarbeiten wir die von Ihnen bereitgestellten Daten (z.B. Name, E-Mail-Adresse, Login-Daten, Vertrags-/Abrechnungsdaten), um den Vertrag zu erfüllen und die Services bereitzustellen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Ohne Bereitstellung dieser Daten kann ein Nutzerkonto bzw. die Serviceerbringung regelmäßig nicht erfolgen.
7. Fitness-, Körper- und Ernährungsdaten (mögliche Gesundheitsdaten)
Im Rahmen der Services können Daten zu Training, Körperparametern (z.B. Größe, Gewicht), Leistungswerten sowie Ernährungs- oder Supplement-Informationen verarbeitet werden. Abhängig vom konkreten Inhalt und Kontext können diese Daten als Gesundheitsdaten und damit als besondere Kategorie personenbezogener Daten im Sinne des Art. 9 DSGVO qualifizieren.
7.1 Verarbeitung zur Serviceerbringung
Wir verarbeiten solche Daten, soweit dies zur Bereitstellung der von Ihnen gewünschten Coaching- und Planungsfunktionen erforderlich ist. Soweit Gesundheitsdaten betroffen sind und keine andere gesetzliche Ausnahme einschlägig ist, erfolgt die Verarbeitung auf Basis Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO (Einholung im Rahmen der Registrierung/Onboarding bzw. in den Einstellungen).
7.2 Optionale Nutzung zur Qualitäts- und Modellverbesserung
Sofern wir Inhalte oder (gesundheitsbezogene) Nutzungsdaten über die konkrete Serviceerbringung hinaus zur Qualitätsverbesserung, Fehleranalyse oder zur Weiterentwicklung von Modellen/Algorithmen verwenden möchten, erfolgt dies – soweit personenbezogen – nur auf Basis einer gesonderten, jederzeit widerruflichen Einwilligung. Unabhängig davon können wir vollständig anonymisierte oder aggregierte Daten (ohne Personenbezug) für Entwicklungszwecke verwenden.
7.3 Daten aus Drittquellen und Integrationen (optional)
Sofern Sie künftig freiwillig Schnittstellen zu Drittanbietern nutzen (z.B. Wearables, Apple Health, Google Fit oder ähnliche Dienste), können wir – abhängig von Ihren Einstellungen und Freigaben – Trainings- und Aktivitätsdaten oder andere fitnessbezogene Informationen erhalten und zur Synchronisation sowie zur Personalisierung der Services verarbeiten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und – soweit besondere Kategorien personenbezogener Daten betroffen sind – Ihre ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO. Sie können Integrationen jederzeit deaktivieren; ab diesem Zeitpunkt erfolgt keine weitere Synchronisation.
8. KI-gestützte Verarbeitung, Personalisierung und Profiling
Unsere Services können KI-gestützte Funktionen enthalten, die auf Basis Ihrer Eingaben (z.B. Ziele, Trainingshistorie, Präferenzen) personalisierte Empfehlungen und Pläne erzeugen. Dabei kann eine Profilbildung („Profiling“) im Sinne des Art. 4 Z 4 DSGVO erfolgen, soweit Verhaltens- oder Leistungsdaten zur Personalisierung ausgewertet werden.
Wir treffen keine ausschließlich automatisierten Entscheidungen im Sinne des Art. 22 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen. Empfehlungen dienen der Unterstützung und ersetzen keine professionelle medizinische Beratung.
Sofern wir externe KI- oder Cloud-Dienstleister einsetzen, erfolgt die Verarbeitung im Rahmen von Auftragsverarbeitungsverträgen nach Art. 28 DSGVO. Wir gestalten Eingaben nach Möglichkeit datenminimiert und setzen organisatorische Maßnahmen zur Zugriffsbeschränkung ein.
9. Kontaktaufnahme und Support
Wenn Sie uns kontaktieren (z.B. per E-Mail oder Support-Formular), verarbeiten wir die von Ihnen übermittelten Daten zur Bearbeitung der Anfrage sowie für etwaige Rückfragen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche/vertragliche Maßnahmen) oder Art. 6 Abs. 1 lit. f DSGVO (effiziente Bearbeitung von Anfragen).
10. Newsletter und Direktmarketing
Sofern wir einen Newsletter anbieten, erhalten Sie diesen nur nach Ihrer Einwilligung (Double-Opt-In) gemäß Art. 6 Abs. 1 lit. a DSGVO. Sie können die Einwilligung jederzeit widerrufen (z.B. über den Abmeldelink im Newsletter).
Informationen an Bestandskund:innen können – soweit nach anwendbarem Recht zulässig – auch auf Basis berechtigter Interessen erfolgen (Art. 6 Abs. 1 lit. f DSGVO). Sie können dem jederzeit widersprechen (siehe Abschnitt 16).
11. Empfänger und Kategorien von Empfängern
Wir übermitteln personenbezogene Daten nur, wenn dies zur Erreichung der oben genannten Zwecke erforderlich ist, eine gesetzliche Verpflichtung besteht oder Sie eingewilligt haben. Empfänger können insbesondere sein:
- IT- und Hosting-Dienstleister (z.B. Server-/Cloud-Hosting, Content Delivery Networks, Datenbanken)
- Dienstleister für Authentifizierung, E-Mail-Versand und Kundenkommunikation
- Analyse-/Marketing-Dienstleister (nur nach Einwilligung, sofern eingesetzt)
- Zahlungsdienstleister und Banken (sofern kostenpflichtige Leistungen angeboten werden)
- Berater:innen (z.B. Steuerberatung, Rechtsberatung) und Behörden im Anlassfall
- Unternehmen der Unternehmensgruppe (sofern vorhanden) für interne Verwaltungszwecke auf Basis berechtigter Interessen
- Potenzielle Erwerber:innen, Investor:innen oder Berater:innen im Rahmen einer Unternehmenstransaktion (z.B. Due Diligence, Umgründung, Unternehmensverkauf), soweit dies erforderlich ist und unter Einhaltung geeigneter Vertraulichkeits- und Datenschutzmaßnahmen.
Mit Dienstleistern, die in unserem Auftrag verarbeiten, schließen wir Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Diese Dienstleister dürfen Daten ausschließlich nach unserer Weisung verarbeiten.
12. Datenübermittlungen in Drittländer
Soweit wir Dienstleister außerhalb des Europäischen Wirtschaftsraums (EWR) einsetzen oder Daten dorthin übermittelt werden, erfolgt dies nur unter Einhaltung der Voraussetzungen der Art. 44 ff. DSGVO (z.B. Angemessenheitsbeschluss der EU-Kommission oder Abschluss von EU-Standardvertragsklauseln) sowie ggf. zusätzlicher Schutzmaßnahmen.
13. Speicherdauer und Löschung
Wir speichern personenbezogene Daten grundsätzlich nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist. Darüber hinaus speichern wir Daten, soweit gesetzliche Aufbewahrungspflichten bestehen (insbesondere abgaben- und unternehmensrechtliche Aufbewahrungsfristen) oder soweit dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
Regelbeispiele:
- Server-Logfiles: max 90 Tage.
- Nutzerkonto-/Coaching-Daten: bis zur Kontolöschung; danach Löschung oder – sofern möglich – Anonymisierung. Backups können technisch bedingt für einen begrenzten Zeitraum fortbestehen (max. 90 Tage).
- Rechnungs- und Buchhaltungsunterlagen: entsprechend gesetzlichen Aufbewahrungsfristen (regelmäßig 7 Jahre; in Sonderfällen länger).
14. Rechte der betroffenen Personen
Sie haben nach Maßgabe der DSGVO insbesondere folgende Rechte:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen Verarbeitung aufgrund berechtigter Interessen (Art. 21 DSGVO)
- Widerruf einer Einwilligung jederzeit mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter: privacy@thalos.at
15. Widerspruchsrecht nach Art. 21 DSGVO
Wenn wir Ihre Daten auf Grundlage berechtigter Interessen verarbeiten, können Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch einlegen. Im Falle von Direktwerbung können Sie jederzeit ohne Angabe von Gründen widersprechen. Wir verarbeiten die Daten dann nicht mehr zu diesen Zwecken, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen.
16. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, Beschwerde bei einer Datenschutzaufsichtsbehörde einzulegen. In Österreich ist dies insbesondere die Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, Telefon +43 1 52 152-0, E-Mail dsb@dsb.gv.at.
17. Minderjährige
Unsere Services richten sich grundsätzlich an Personen ab 14 Jahren. Sofern für bestimmte Verarbeitungen eine Einwilligung erforderlich ist und die betroffene Person das 14. Lebensjahr noch nicht vollendet hat, ist die Verarbeitung nur rechtmäßig, sofern und soweit die Einwilligung durch den Träger der elterlichen Verantwortung erteilt oder mit dessen Zustimmung erteilt wurde.
18. Pflicht zur Bereitstellung von Daten
Die Bereitstellung bestimmter Daten ist für die Nutzung der Website technisch erforderlich (z.B. Verarbeitung der IP-Adresse in Server-Logfiles). Für die Registrierung und Nutzung der Services sind die als Pflichtfelder gekennzeichneten Angaben erforderlich. Ohne diese Daten können wir ein Nutzerkonto in der Regel nicht einrichten bzw. die Services nicht erbringen. Optionale Angaben (z.B. freiwillige Profilangaben, Einwilligungen in Analytics/Marketing oder optionale Verbesserungsprogramme) sind nicht erforderlich und können jederzeit in den Einstellungen angepasst bzw. widerrufen werden.
19. Datensicherheit
Wir setzen angemessene technische und organisatorische Maßnahmen ein, um personenbezogene Daten vor Verlust, Missbrauch, unbefugtem Zugriff, Offenlegung oder Veränderung zu schützen (z.B. Zugriffskontrollen, Verschlüsselung, Protokollierung, Rollen- und Berechtigungskonzepte). Ein absoluter Schutz kann jedoch nicht garantiert werden.
20. Hinweis: Kein medizinischer Rat
Die Services dienen der allgemeinen Fitness- und Gesundheitsförderung und ersetzen keine ärztliche Diagnose oder Behandlung. Bei gesundheitlichen Beschwerden, Vorerkrankungen oder Schwangerschaft konsultieren Sie bitte vor Trainings- oder Ernährungsumstellungen medizinisches Fachpersonal.
21. Änderungen dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung anpassen, wenn sich unsere Verarbeitungstätigkeiten oder die Rechtslage ändern. Die jeweils aktuelle Fassung wird auf thalos.at veröffentlicht. Wesentliche Änderungen teilen wir – soweit erforderlich – gesondert mit.